Ważne: Daty wydania wskazane wcześniej w tym artykule uległy zmianie. Należy pamiętać o nowych datach wydania w sekcjach "Działanie" i "Chronometraż tych aktualizacji systemu Windows".
Podsumowanie
Luka w zabezpieczeniach umożliwiająca obejście funkcji zabezpieczeń określa, czy można użyć biletu usługi Kerberos w celu delegowania za pośrednictwem delegowania ograniczonego (KCD, Kerberos Constrained Delegation). W celu wykorzystania luki w zabezpieczeniach naruszona usługa skonfigurowana do używania KCD może naruszyć bilet usługi Kerberos, który jest nieprawidłowy w przypadku delegowania w celu wymuś na nim jego zaakceptowanie. Te aktualizacje systemu Windows rozsyłają tę lukę, zmieniając sposób sprawdzania poprawności biletów usługi Kerberos używanych z KCD.
Aby dowiedzieć się więcej o tej lukie, zobacz CVE-2020-17049.
Działanie Aby chronić środowisko i zapobiec 3dniom, musisz wykonać wszystkie poniższe czynności:
|
Chronometraż tych aktualizacji systemu Windows
Te aktualizacje systemu Windows zostaną wydane w trzech etapach:
-
Faza wdrożenie wstępne aktualizacji systemu Windows opublikowana 8 grudnia 2020 r. lub później.
-
Druga faza wdrażania, która usuwa ustawienie PerformTicketSignature0 i wymaga ustawienia 1 lub 2, w dniu 13 kwietnia 2021 r. lub później.
-
Faza wymuszania aktualizacji systemu Windows opublikowana 13 lipca 2021 r. lub później.
8 grudnia 2020 r.: Etap wdrożenia początkowego
Faza wdrożenie wstępne rozpoczyna się wraz z aktualizacją systemu Windows opublikowaną 8 grudnia 2020 r. i kontynuuje późniejszą aktualizację systemu Windows dla fazy wymuszania. Te i nowsze aktualizacje systemu Windows wprowadzają zmiany w protokołu Kerberos. Ta aktualizacja z 8 grudnia 2020 r. zawiera poprawki dla wszystkich znanych problemów, które pierwotnie wprowadzono w wersji z 10 listopada 2020 r. cve-2020-17049. Ta aktualizacja dodaje również obsługę systemów Windows Server 2008 z dodatkiem SP2 i Windows Server 2008 R2.
Ta wersja:
-
Adresy CVE-2020-17049 (domyślnie w trybie wdrażania).
-
Dodaje obsługę wartości rejestru PerformTicketSignature, aby włączyć ochronę na serwerach kontrolera domeny usługi Active Directory. Domyślnie ta wartość nie istnieje.
Środki zaradcze obejmują instalację aktualizacji systemu Windows na wszystkich urządzeniach hostjących rolę kontrolera domeny usługi Active Directory i kontrolerów domen tylko do odczytu, a następnie włączenie trybu wymuszania.
13 kwietnia 2021r.: Druga faza wdrażania
Druga faza wdrażania rozpoczyna się aktualizacją systemu Windows wydaną 13 kwietnia 2021 r. Ta faza powoduje usunięcie ustawienia PerformTicketSignature0. Ustawienie wartości PerformTicketSignature na 0 po zainstalowaniu tej aktualizacji będzie mieć taki sam efekt, jak ustawienie PerformTicketSignature na 1. Domeny będą w trybie wdrażania.
Uwagi
-
Ta faza nie jest potrzebna, jeśli w Twoim środowisku nigdy nie ustawiono dla funkcji PerformTicketSignature0. Ta faza ma na celu upewninie się, że klienci, którzy ustawili wartość PerformTicketSignature na 0, zostaną przed fazą wymuszania przenieśni do ustawienia 1.
-
Wraz z wdrożeniem aktualizacji z 13 kwietnia 2021 r. ustawienie wartości PerformTicketSignature na1 spowoduje, że bilety usług będą dostępne na urządzeniach. Jest to zmiana w zachowaniu w aktualizacji systemu Windows z okresie przed kwietniem 2021 r. w przypadku ustawienia wartości PerformTicketSignature na 1, co powodowało, że bilety usług nie były wyświęcane.
-
W tej aktualizacji przyjęto założenie, że wszystkie kontrolery domen zostaną zaktualizowane w aktualizacjach z 8 grudnia 2020 r. lub nowszych.
-
Po zainstalowaniu tej aktualizacji i ręcznym lub programowym ustawieniu funkcji PerformTicketSignature na co najmniej 1 nieobsługiwane kontrolery domen systemu Windows Server nie będą już działać z obsługiwanymi kontrolerami domen. Dotyczy to również systemów Windows Server 2008 i Windows Server 2008 R2 bez rozszerzonych aktualizacji zabezpieczeń (ESU) i Windows Server 2003.
13 lipca 2021r.: Faza wymuszania
Przejścia wersji z 13 lipca 2021 r. do fazy wymuszczenia. Faza wymuszania wymusza zmiany w adresie CVE-2020-17049. Kontrolery domeny usługi Active Directory są teraz w stanie wymuszania. Aby w trybie wymuszania została zainstalowana aktualizacja systemu Windows z 8 grudnia 2020 r. lub późniejsza, wszyscy kontrolerzy domen usługi Active Directory muszą zainstalować aktualizację z 8 grudnia 2020 r. Obecnie ustawienia klucza rejestru PerformTicketSignature są ignorowane i nie można zastąpić trybu wymuszania.
Wskazówki dotyczące instalacji
Przed zainstalowaniem tej aktualizacji
Przed zastosowaniem tej aktualizacji należy zainstalować następujące wymagane aktualizacje. Jeśli korzystasz z usługi Windows Update, te wymagane aktualizacje będą oferowane automatycznie zgodnie z potrzebami.
-
Przed zastosowaniem tej aktualizacji musisz mieć zainstalowaną aktualizację SHA-2(KB4474419)z datą 23 września 2019 r. lub nowszej, a następnie ponownie uruchomić urządzenie. Aby uzyskać więcej informacji na temat aktualizacji SHA-2, zobacz wymaganie obsługi podpisywania kodu w systemie Windows i programie WSUS w wersji 2019 SHA-2.
-
W przypadku systemu Windows Server 2008 R2 z dodatkiem SP1 należy zainstalować aktualizację stosu obsługi(KB4490628)z datą 12 marca 2019 r. Po zainstalowaniu aktualizacji KB4490628 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji na temat najnowszej aktualizacji SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.
-
W przypadku systemu Windows Server 2008 z dodatkiem SP2 należy zainstalować aktualizację stosu obsługi(KB4493730)z datą 9 kwietnia 2019 r. Po zainstalowaniu aktualizacji KB4493730 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji na temat najnowszych aktualizacji SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.
-
Klienci są zobowiązani do zakupu rozszerzonej aktualizacji zabezpieczeń (ESU) dla lokalnych wersji systemu Windows Server 2008 z dodatkiem SP2 lub Windows Server 2008 R2 SP1 po zakończeniu wsparcia rozszerzonego 14 stycznia 2020 r. Klienci, którzy kupili ESU, muszą wykonać procedury z bazy KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń. Aby uzyskać więcej informacji na temat ESU i obsługiwanych wersji, zobacz artykuł KB4497181.
Ważne Po zainstalowaniu tych wymaganych aktualizacji musisz ponownie uruchomić urządzenie.
Zainstaluj wszystkie aktualizacje
Aby usunąć lukę w zabezpieczeniach, zainstaluj wszystkie aktualizacje systemu Windows i włącz tryb wymuszania, wykonanie następujących czynności:
-
Wdaj co najmniej jedną z aktualizacji od 8 grudnia 2020 r. do 9 marca 2021 r. we wszystkich kontrolerach domen usługi Active Directory w lesie.
-
Wdeduj aktualizację z 12 kwietnia 2021 r. co najmniej jeden tydzień po kroku 1.
-
Po zaktualizowaniu wszystkich kontrolerów domeny usługi Active Directory poczekaj co najmniej cały tydzień, aby zezwolić na wygaśnięcie wszystkich zaległych biletów usługi Kerberos (S4U2self) dla użytkownika( S4U2self), a następnie włącz pełną ochronę, wdrażając tryb wymuszania kontrolera domeny usługi Active Directory.
Uwagi-
Jeśli czas wygaśnięcia biletu usługi Kerberos został zmieniony z ustawień domyślnych (domyślnie wynosi 7 dni), musisz poczekać co najmniej tyle dni, ile skonfigurowano w środowisku.
-
W poniższej procedury założono, że w Twoim środowisku wartość PerformTicketSignature nigdy nie została ustawiona na wartość 0. Jeśli dla właściwości PerformTicketSignature ustawiono wartość 0,należy przejść do ustawienia 1, zanim przejdę do ustawienia 2 (tryb wymuszania) i poczekać co najmniej tydzień, aby zezwolić na wygaśnięcie wszystkich zaległych biletów usługi Kerberos dla użytkownika (S4U2self) Kerberos. Nie należy przechodzić bezpośrednio z ustawienia 0 do ustawienia 2 (tryb wymuszania).
-
Krok 1. Instalowanie aktualizacji systemu Windows
Zainstaluj odpowiednią aktualizację systemu Windows z 8 grudnia 2020 r. lub późniejszą aktualizację systemu Windows na wszystkich urządzeniach, na których pełnisz rolę kontrolera domeny usługi Active Directory w lesie, w tym kontrolerów domen tylko do odczytu.
Produkt Windows Server |
KB # |
Typ aktualizacji |
Windows Server, wersja 20H2 (Instalacja core serwera) |
Aktualizacja zabezpieczeń |
|
Windows Server, wersja 2004 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server, wersja 1909 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server, wersja 1903 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server 2019 (instalacja programu Server Core) |
Aktualizacja zabezpieczeń |
|
Windows Server 2019 |
Aktualizacja zabezpieczeń |
|
Windows Server 2016 (instalacja programu Server Core) |
Aktualizacja zabezpieczeń |
|
Windows Server 2016 |
Aktualizacja zabezpieczeń |
|
Windows Server 2012 R2 (instalacja programu Server Core) |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2012 R2 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2012 (instalacja programu Server Core) |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2012 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2008 R2 z dodatkiem Service Pack 1 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Dodatek Service Pack 2 dla systemu Windows Server 2008 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
Krok 2. Włączanie trybu wymuszania
Po zaktualizowaniu wszystkich urządzeń hostjących rolę kontrolera domeny usługi Active Directory poczekaj co najmniej cały tydzień, aby zezwolić na wygaśnięcie wszystkich zaległych biletów usługi S4U2self Kerberos. Następnie włącz pełną ochronę, wdrażając tryb wymuszania. W tym celu włącz klucz rejestru w trybie wymuszania.
Ostrzeżenie Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może spowodować poważne problemy. Te problemy mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie można rozwiązać. Modyfikujesz rejestr na własne ryzyko.
Uwaga W tej aktualizacji wprowadzono obsługę następującej wartości rejestru w celu włączenia trybu wymuszania. Ta wartość rejestru nie jest tworzona przez zainstalowanie tej aktualizacji. Tę wartość rejestru należy dodać ręcznie.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Wartość |
PerformTicketSignature |
Typ danych |
REG_DWORD |
Dane |
1.Włącza tryb wdrażania. Poprawka jest włączona na kontrolerze domeny, ale kontroler domeny usługi Active Directory nie wymaga, aby bilety usług Kerberos były zgodne z poprawą. Ten tryb dodaje obsługę podpisów biletów w zaktualizowanych kontrolerach domeny CVE-2020-17049, ale kontrolerzy domen nie wymagają podpisywania biletów. Pozwala to na współistnienie kilku faz wdrażania początkowego (DCs zaktualizowanych do aktualizacji wstępnej z grudnia) i zaktualizowanych kontrolerów domeny. Aktualizacja wszystkich kontrolerów domeny i ustawienie 1spowoduje podpisanie wszystkich nowych biletów. W tym trybie nowe bilety będą oznaczane jako bilety. 2.Włączenie trybu wymuszania Umożliwia rozwiązanie w trybie wymaganym, gdy wszystkie domeny muszą zostać zaktualizowane, a wszyscy kontrolerzy domen usługi Active Directory wymagają biletów usługi Kerberos z podpisami. W przypadku tego ustawienia wszystkie bilety muszą zostać podpisane, aby można je było uznać za ważne. W tym trybie bilety zostaną ponownie oznaczone jako bilety. 0:Nie zalecane. Wyłącza podpisy biletów usługi Kerberos, a domeny nie są chronione. Ważne: Ustawienie 0 jest niezgodne z ustawieniem wymuszania 2. Sporadyczne błędy uwierzytelniania mogą wystąpić, jeśli tryb wymuszania zostanie zastosowany później, gdy domena ma ustawioną wartość 0. Zalecamy klientom przejście do ustawienia 1 przed etapem wymuszania (co najmniej tydzień przed zastosowaniem wymuszania). |
Domyślne |
1 (jeśli klucz rejestru nie jest ustawiony) |
Czy jest wymagane ponowne uruchomienie? |
Nie |